一名网络安全研究人员因在补丁发布后描述Powertek PDU中的漏洞而受到法律诉讼的威胁。这些漏洞 - 两个被认为是关键问题和“少数”更小问题 - 是由目前为谷歌工作的一位名叫Gynvael Coldwind的波兰研究人员发现的。统称为“权力的尖叫”——由于研究人员喜欢在金属乐队名称生成器的帮助下命名错误——关键问题被跟踪为CVE-2022-33174和CVE-2022-33175。两者都影响到Powertek,这是一家配电单元(PDU)制造商,配电单元(PDU)是在数据中心分配和管理电力供应的关键硬件。
3月,研究人员审查了Powertek固件,发现v3.30.23 和“可能更早”的多个问题。CVE分配说3.30.30之前的固件版本受到影响。
第一个漏洞CVE-2022-33174的CVSS严重性评分为9.8,被描述为授权绕过问题。
第二个漏洞CVE-2022-33175的CVSS分数也为9.8。此问题是经过身份验证的会话令牌泄漏。
据研究人员称,2月10日向Powertek发送了一份漏洞报告,并确认该报告在6天后被查看。Powertek随后在5月请求了一个“短”宽限期,并确认正在进行修复。
供应商和研究人员之间交换了有关补丁分发的电子邮件,并在6月要求提供CVE。
随后发布了网络安全研究人员的博客文章,描述了这些漏洞。
到目前为止,一切都很好。然而,Powertek随后向Coldwind发送了一封刻薄的电子邮件,询问他们为什么“试图损害品牌”。Coldwind随后询问供应商的意思,导致法律威胁:“我们没有卖给你任何东西,你不能像你现在那样说话,我们的律师会联系你。”
在6月13日发布的更新中,这位安全研究人员表示,随后与该公司的瑞士经销商Schneikel的电话表明态度发生了转变——这可能是由于对披露过程缺乏了解造成的威胁,还有恐惧。
“总的来说,这还是老套的故事:由于不了解行业公认的标准,理性的人错误地处理了有史以来的第一次漏洞披露,”Coldwind评论道。“他们有兴趣加强他们的安全游戏,这很棒。”
Dawid Czarnecki建议披露漏洞的研究人员可以考虑在他们的电子邮件中添加一个常见问题解答或指南,以减轻他们第一次遇到这种情况的压力。
“对于非安全人员来说,[漏洞披露] 可以被视为对公司的攻击,因此他们有时会做出这样的反应,”Czarnecki注意到。“但看到他们在与你讨论后表现出改进的意愿,尽管第一次接触不佳,但这是非常令人钦佩的。”
评论已关闭。